Notoria botnet Quad7 evoluciona y amplía su espectro de enrutadores

Iniciado por AXCESS, Septiembre 11, 2024, 12:17:18 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La misteriosa botnet Quad7 ha evolucionado sus tácticas para comprometer varias marcas de enrutadores Wi-Fi y dispositivos VPN. Está armada con nuevas puertas traseras, múltiples vulnerabilidades, algunas de las cuales eran desconocidas anteriormente, y nuevos servidores de prueba y clústeres, según un informe de Sekoia, una empresa de ciberseguridad.

Los investigadores de ciberseguridad descubrieron la botnet utilizando nuevos servidores de prueba, lo que dio lugar a clústeres de botnets, objetivos e implantes maliciosos.

"Los operadores de la botnet Quad7 parecen estar comprometiendo varias marcas de enrutadores SOHO y dispositivos VPN, incluidos TP-LINK, Zyxel, Asus, Axentra, D-Link y Netgear, utilizando múltiples vulnerabilidades, algunas de las cuales eran desconocidas anteriormente", advierte el equipo de TDR de Sekoia.

El conjunto de herramientas mejorado incluye nuevas puertas traseras y nuevos protocolos que mejoran el sigilo. Las actividades de la botnet podrían ser casi imposibles de rastrear en el futuro cercano.

El 23 de julio, los investigadores informaron sobre miles de enrutadores TP-Link comprometidos que participan en Quad7, también conocida como la botnet 7777.

Desde entonces, se han revelado más clústeres de botnets que se han asociado con el mismo grupo. Al menos cinco clústeres diferentes se han vinculado al actor de amenazas:

La botnet xlogin, compuesta por enrutadores TP-Link comprometidos que tienen abiertos los puertos TCP TELNET/7777 y 11288.

La botnet rlogin, que tiene como objetivo dispositivos inalámbricos Ruckus con el puerto TCP expuesto TELNET/63210.

La botnet alogin, compuesta por enrutadores Asus comprometidos que tienen abiertos los puertos TCP 63256 y 63260.

La botnet axlogin, que parece estar implementada en Axentra NAS. No está claro qué puerto puede ser el objetivo, ya que la muestra de malware obtenida no se observó en la red.

La botnet zlogin, desplegada en dispositivos VPN Zyxel, escucha el puerto TELNET/3256

Miles de dispositivos Asus y TP-Link comprometidos incluían las botnets correspondientes, mientras que la botnet rlogin tenía solo 213 dispositivos y zlogin solo 8 dispositivos VPN Zyxel.

La botnet con enrutadores TP-Link estaba en declive recientemente, mientras que los investigadores observaron una actividad creciente de enrutadores Asus comprometidos.

Se obtuvieron al menos 21 muestras de malware, lo que demuestra una evolución significativa en las tácticas de la banda, orientadas a permanecer bajo el radar.

Tres nuevas puertas traseras, dos que afectan a enrutadores Asus y una que afecta a NAS Axentra, fueron denominadas "UPDTAE" debido a un error tipográfico en su código. Permiten a los atacantes controlar de forma remota los dispositivos comprometidos. Los operadores de Quad7 parecen estar probando su nuevo malware antes de la implementación: "El código está mal diseñado con varios errores y sigue siendo muy simple".

Sin embargo, las comunicaciones de shell basadas en HTTP mejoran el sigilo y evitan que los investigadores de seguridad rastreen la evolución de la botnet a través de motores de escaneo de Internet.

Según un informe, los investigadores descubrieron una carpeta ASUS en el servidor de los atacantes que contenía malware utilizado contra varios proveedores y dispositivos de red, incluidos Asus, D-LINK DIR-610 y Netgear R7000.

Otro archivo bash descubierto tenía como objetivo configurar reglas de firewall y lanzar otros tres binarios maliciosos contra dispositivos Ruckus.

Los cibercriminales a menudo apuntan a los enrutadores Wi-Fi debido a su accesibilidad, vulnerabilidades y uso potencial en ataques anónimos y distribuidos.

"Con muchos dispositivos comprometidos distribuidos en varias regiones, los actores maliciosos pueden ocultar sus operaciones y lanzar ataques con un riesgo mínimo de exposición. Los operadores de Quad7 han demostrado particularmente cómo estos dispositivos comprometidos pueden ser explotados para tareas como la retransmisión de ataques de fuerza bruta", dijeron los investigadores.

En su informe, Sekoia compartió indicadores de compromiso, como direcciones IP maliciosas, hashes de malware y otra información.

Fuente
:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta